Image by M. Rennim, from Unsplash
Burger King y otras marcas de RBI hackeadas, la seguridad es calificada como ‘tan sólida como un envoltorio de Whopper de papel’
Tiempo de lectura: 3 min.
Actualizado por última vez: Sep 9, 2025
-
![Kiara Fabbri]()
-
![El equipo de localización y traducción]()
Traducido por El equipo de localización y traducción Servicios de localización y traducción
Las hackers éticas descubrieron debilidades cibernéticas catastróficas en los sistemas de Burger King, Tim Hortons y Popeyes, exponiendo las cuentas de los empleados, las grabaciones del drive-thru, y prácticas de seguridad débiles a nivel mundial.
¿Apurada? Aquí están los datos rápidos:
- Las vulnerabilidades permitieron el acceso a las cuentas de los empleados, a los sistemas de pedidos y a las grabaciones de audio del autoservicio.
- Los hackers encontraron contraseñas codificadas y débiles protecciones de API en todas las plataformas de asistencia.
- Las contraseñas se almacenaban en texto plano y se podía obtener fácilmente el acceso de administrador.
Los hackers éticos BobDaHacker y BobTheShoplifter afirman haber descubierto vulnerabilidades “catastróficas” en los sistemas gestionados por Restaurant Brands International (RBI), la empresa detrás de Burger King, Tim Hortons y Popeyes.
La cadena mundial de comida rápida opera a través de plataformas compartidas, que los hackers identificaron como teniendo graves debilidades de seguridad, a pesar de que gestionan 30,000 ubicaciones. El blog BobDaHacker describió las medidas de seguridad como “tan sólidas como un envoltorio de Whopper de papel en la lluvia”, tal como señaló Tom’s Hardware (TH) quien informó por primera vez de esta historia
Las fallas de seguridad permitieron a los hackers obtener acceso a las cuentas de los empleados, sistemas de pedidos, y escuchar conversaciones grabadas en el auto-servicio. Los hackers éticos no recibieron respuesta de RBI después de que informaron adecuadamente a la empresa sobre los problemas de seguridad, según explicó TH.
Las plataformas de asistencia de las tres marcas compartían idénticas vulnerabilidades de seguridad. TH informa que un hacker que lograra entrar al sistema podría modificar cuentas de empleados, gestionar dispositivos y equipos de la tienda, distribuir alertas a localizaciones y realizar acciones adicionales.
Las vulnerabilidades fueron descubiertas a través de una combinación de configuraciones descuidadas de API y de introspección de GraphQL. Los hackers encontraron un punto final de registro que evitó la verificación por correo electrónico, revelando las contraseñas en texto plano.
“Nos impresionó el compromiso con las prácticas de seguridad terribles”, escribieron, según informó TH. Utilizando una mutación GraphQL llamada createToken, podrían “ascendernos a nosotros mismos al estatus de administrador en toda la plataforma.”
Los errores de seguridad adicionales incluían contraseñas codificadas en las interfaces de las tabletas de la tienda y en los sistemas de pedidos de equipos, algunas veces simplemente establecidas como ‘admin’.
TH informa que los hackers obtuvieron acceso a grabaciones de audio completas y sin procesar de pedidos realizados en el drive-thru, que a veces contenían información personal. Los hackers lograron acceder a los sistemas de calificación de baños, sin embargo, optaron por no modificarlos.
El blog de BobDaHacker enfatizó que “no se retuvo ningún dato de cliente durante esta investigación”, siguiendo prácticas de divulgación responsable, según informó TH.
Esta exposición destaca graves riesgos en las principales cadenas de comida rápida y subraya la importancia de sólidas prácticas de ciberseguridad en las empresas globales.
Artículo anterior
Artículos más recientes 
